Androidgebruikers zijn gewaarschuwd voor een ernstig bluetooth-lek en krijgen het advies de functionaliteit uit te schakelen als ze nog geen beveiligingsupdate hebben ontvangen. Security.NL berichtte woensdag al over de kwetsbaarheid waarvoor Google een Android-update had uitgebracht.
Het beveiligingsbulletin van Google bevatte echter weinig informatie over het beveiligingslek, behalve dat een aanvaller via een "speciaal geprepareerde transmissie" op afstand code op Androidtoestellen had kunnen uitvoeren. Het beveiligingslek bevond zich in het "Android-system". De kwetsbaarheid in kwestie, aangeduid als CVE-2020-0022, is gevonden door het Duitse securitybedrijf ERNW, zo laat het bedrijf zelf weten.
Het blijkt om een probleem in het bluetooth-subsystem van Android te gaan waardoor een aanvaller via bluetooth op afstand en zonder interactie van gebruikers code op toestellen met Android 8.0 en 9.0 kan uitvoeren. Voorwaarde voor het uitvoeren van de aanval is dat bluetooth staat ingeschakeld en de aanvaller het bluetooth mac-adres kent. Bij sommige toestellen is dit af te leiden van het wifi mac-adres.
In het geval van Android 10 kan een aanvaller bluetooth laten crashen, maar is het uitvoeren van code niet mogelijk. Oudere Androidversies zijn mogelijk ook kwetsbaar, maar dit is nog niet door de onderzoekers onderzocht. Ze waarschuwen dat het mogelijk is om via de kwetsbaarheid een worm te verspreiden die allerlei kwetsbare Androidtoestellen in de buurt via bluetooth met malware infecteert.
Gebruikers krijgen het dringende advies om de februari-update voor Android te installeren. Die is te herkennen aan het patchniveau "2020-02-01". In de praktijk blijkt dat veel Androidtoestellen beveiligingsupdates helemaal niet of op een later moment krijgen. Voor deze apparaten wordt aangeraden om bluetooth uit te schakelen tenzij het strikt noodzakelijk is. Tevens wordt geadviseerd om het toestel "non-discoverable" te laten zijn. Veel Androidtoestellen zijn alleen via bluetooth te vinden als ze naar het bluetooth-scanmenu gaan. Sommige oudere Androidtoestellen zijn echter permanent via bluetooth vindbaar.
ERNW laat weten dat als voldoende gebruikers zijn geüpdatet ze meer technische informatie over de kwetsbaarheid zullen vrijgeven, alsmede een proof-of-concept exploit waarmee de aanval is uit te voeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.